从网络犯罪分子手中夺回信息优势

关注公众号网络研究观获取更多内容。

攻击者拥有信息优势

从 SOC 分析师到威胁行为者，每个人都能从了解组织外部风险中存在的暴露中获益。虽然 SOC 分析师的益处更为全面，但人们经常发现，对手对组织的漏洞有更全面的了解。

泄露的凭证、暴露的文档、易受攻击的主机和硬编码的机密经常会被组织忽视数月或数年。在发现这些暴露方面，网络对手不断展示他们的信息优势。

为什么攻击者常常拥有信息优势？

网络犯罪分子已经制定了有效的策略来保持其信息优势。 

知道去哪里寻找

网络对手善于发现数据泄露和暴露的凭证，因为他们知道该在哪里搜索。

他们非常了解敏感信息可能暴露在何处，无论是在 SaaS 平台、互联网扫描仪、云存储解决方案还是公共代码存储库中。

在网络犯罪社区中可以发现一种错位的热情和好奇心，无论是出于意识形态原因还是对不义之财的贪得无厌，它往往表现为开发和分享创造性的新技术来寻找他们想要的信息。

鉴于大量第三方泄密事件（直接或间接影响各种公司）并出现在网络犯罪论坛上，我们可以看到网络对手比许多组织本身更了解现代攻击面。

他们似乎意识到，现代攻击面远远超出了传统的边界概念，除了构成众所周知的组织攻击面的传统主机和内部部署 Web 应用程序之外，还扩展到组织使用的许多不同的 SaaS 工具、数据存储解决方案、顾问、承包商和分包商。

投入时间和资源

对手会投入大量时间进行侦察。一般来说，威胁行为者会从在活动前期进行侦察中获益，这样他们就能详细了解和探测可能的攻击路径。

近年来，过去留下了更复杂的攻击路径，有利于寻找意外暴露在公共场所的数据，这在 SaaSification 时代是一种越来越常见的现象——攻击者可以在没有集中记录能力的第三方 SaaS 工具上找到暴露的数据。

对于犯罪分子来说，还有什么比从前门走进来更好的方法来找到他们的宝藏呢？

与他们的攻击目标不同，他们的公司目标可能专注于新的 EDR 部署或为晦涩难懂的云微服务编写日志解析器，而攻击者可以专注于研究目标的攻击面并自动化他们的收集策略。

自动化

自动化在保持信息优势方面发挥着至关重要的作用。攻击者使用自动化工具持续监控其来源是否存在新的暴露，例如泄露的凭证、暴露的 API 密钥、易受攻击的子域、配置错误的服务等。

这使他们能够在各种情况下快速做出反应——例如在运行特定软件版本的公共主机上自动尝试新的 RCE 漏洞，或使用扫描仪监控组织的公共 GitHub 是否存在包含硬编码机密的意外提交，并在 API 密钥被轮换之前尝试使用它们进行访问。

协作生态系统

网络犯罪分子受益于强大的生态系统，该生态系统促进了新技术、公开文件、发现的凭证和其他敏感信息的共享。

Telegram 和暗网论坛等平台用于快速传播被盗数据，通常数百到数千名网络犯罪分子可以访问相同的信息。

例如，Telegram托管各种窃取者日志频道。频道所有者将举办窃取者恶意软件活动，将其受感染设备存储的浏览器凭证、cookie 和其他敏感数据发布到频道，使感染后不久即可供团体成员使用。

如何取得信息优势？

为了创造公平的竞争环境，企业需要采取积极主动的方法来了解其外部攻击面并尽量减少暴露。

自动侦察

正如攻击者使用自动化来大规模利用漏洞一样，组织也应该使用自动化工具来扫描暴露情况。专业人员在这里应该使用的工具与红队在渗透测试中经常使用的工具相同。

这包括监控组织知道其开发团队使用的公共代码位置中泄露的凭据或泄露的机密，扫描 Web 应用程序中未记录或配置错误的 API 端点或漏洞等。

这里要遵循的理念是，安全专业人员希望定期运行渗透测试的侦察阶段，而不是在两年一次的渗透测试中了解暴露情况。

一旦专业人员了解了他们要在其中搜索暴露的位置，他们就可以开始自动化更多的手动步骤。例如，如果安全专业人员手动使用 Google dorking 查找包含组织内部文件页脚的暴露文件，例如“Acme Corp. 公司机密的财产”，他们可以利用 Google JSON Search API 在出现新文件时快速通知他们，这样他们就可以确定文件是否确实是机密的或包含任何泄露的元数据。

这可以节省安全团队的麻烦，并避免定期手动查找泄露文件而导致的潜在时间延迟。此类自动化将使组织能够超越（或在最坏的情况下跟上）对手发现暴露的速度，从而使公司能够在造成损害之前减轻损失。

对抗技术

组织应该使用与对手相同的技术。这包括利用攻击性安全工具进行枚举和侦察，以发现潜在的暴露。

通过采用对抗性思维，防御者可以预测攻击者通常会查看的位置。或者，通过监控他们的渠道，防御者可以预测攻击者开始查看的位置并首先保护这些区域。

采用攻击者思维的一个好方法是监控暗网新闻来源，如 Daily Dark Web 或 Dark Web Informer，以了解威胁行为者如何交流、他们最近在谈论什么以及他们的行话。

协作和情报共享

与其他组织和安全社区共享威胁情报。通过了解其他人发现的最新威胁和风险，组织可以快速将这些知识应用于您自己的安全态势。

许多行业都有ISAC，这是针对同类行业的公司的成员驱动的威胁共享计划。这些团体公开分享与该团体相关的威胁情报指标和不断发展的对抗技术（如新的侦察技术）。

重新获得并保持信息优势

攻击者不必拥有信息优势。通过比对手更好地了解攻击面、利用自动化、采用对抗技术并协作获取威胁情报，安全专业人员可以重新获得并保持信息优势。